セキュリティ週間7日目【備忘録】5/23
ひとこと感想
1週間経ちました。
今日学んだこと
ディレクトリ・トラバーサル
意図しないファイルを操作される脆弱性。ファイル名を変数で指定とかするタイプで起こる。
他にもエンコードの違いでtxtを読み込ませるとしつつphpを読み込ませるなんていうんルバイトの方法もある
例えば…/etcの中を操作されたり。←「../」を使われる。
→ファイル名を指定できないようにする!!!!ex番号、固定、など
→ディレクトリは除外!(「../」とか。
ディレクトリ・リスティング
PHPとかでファイルの一覧でてくるやつ。単純だが、かつての情報漏洩はこのパターンが多かったらしい。
→秘密なデータは公開ディレクトリに置かない!
OSコマンド・インジェクション
プログラミング言語の多く→OSコマンドを呼び出せる!
使われるとサーバー乗っ取られる。マイニングとかさせられる。
複数コマンドが実行できるのも問題
→OSコマンドを呼び出さない実装を。やむを得ない時はパラメータをエスケープするとかがいい。